Uno dei pilastri di un processo efficace di cyber security è la capacità di svolgere adeguate attività di cyber threat intelligence per fare prevenzione e individuare attività ostili
La cyber security ha lo scopo di gestire rischi “cyber” (ICT e non) che oggi possono impattare su processi di business e asset preziosi (anche non IT, come la reputazione o la delivery di servizi “core”). Nonostante l’aumento esponenziale degli attacchi veicolati tramite strumenti informatici e delle perdite che provocano, la maggior parte delle organizzazioni pubbliche e private trovano ancora difficile comprendere il rapidissimo cambiamento di scenario intervenuto negli ultimi anni.
In particolare, non tengono in debito conto le conseguenze derivanti dallo sviluppo ormai endemico di attività cyber criminali e di spionaggio industriale che purtroppo operano su scala globale, colpendo chiunque con efficienza invidiabile, essendo state quasi del tutto automatizzate. Questa errata percezione dei nuovi rischi “cyber” è causata principalmente dalla mancanza di informazioni in merito, dovuta all’assenza di opportuni processi di monitoraggio e di analisi dei dati, in relazione sia a quanto avviene all’interno dell’organizzazione che a quanto avviene all’esterno. Sfortunatamente le vulnerabilità diffuse e la mancanza di threat intelligence sono due elementi che, combinati tra loro, facilitano enormemente le attività degli attaccanti, le quali d’altra parte non possono più essere contenute tramite gli strumenti e i metodi di difesa “statica” tradizionali (firewall, antivirus, etc.). Per questo motivo numerose ricerche dimostrano che la maggior parte delle organizzazioni sono già state attaccate con successo, a loro insaputa.
Come prevenire le minacce
Oggi, la difesa deve puntare principalmente sulla prevenzione e su forme rapide, dinamiche di contrasto delle minacce. In questo contesto un’attività di cyber threat intelligence può mettere un’organizzazione in grado di minimizzare la “finestra di compromissione”, una volta subito un attacco, riducendo pertanto i danni. D’altra parte solo un approccio dinamico, risk-based, pro-attivo e informato consente di guidare con efficienza la definizione delle strategie e l’allocazione dei budget, e di controllarne strettamente l’efficacia nel tempo. Quando parliamo di cyber threat intelligence però non intendiamo semplicemente l’adozione di un SIEM, per quanto integrato con i feed di informazioni che si possono reperire da fonti aperte o commerciali in materia di cyber attacchi. Ciò che serve è principalmente un cambiamento culturale e organizzativo, che possa rendere tutte queste informazioni “actionable”, ovvero concretamente utili.
Sicurezza in tre step
Sono tre i principali elementi di trasformazione necessari per implementare un processo di cyber security economicamente sostenibile ed efficace. Primo: creare una mentalità risk-based in tutta l’organizzazione. Secondo: implementare un modello operativo basato su una costante attività di cyber threat intelligence. Terzo: definire processi di decision-making basati sull’analisi puntuale dei rischi “cyber”, continuamente aggiornata. Per realizzare questi passaggi, sono necessarie sofisticate tecnologie a supporto, ma è soprattutto necessario ri-modellare l’organizzazione in modo che i “silos” non siano di intralcio, che le informazioni siano condivise in tempo reale (in orizzontale e in verticale), e che ci sia una struttura deputata a raccoglierle, analizzarle, renderle comprensibili e a fornire a ciascuno, per i propri fini, una vista aggiornata su di esse. La vera sfida della cyber intelligence sta proprio nel conciliare e armonizzare la difesa di asset appartenenti a domini fino ad oggi gestiti separatamente (come i record del database dei clienti, il valore in Borsa dell’azienda, l’account Facebook del figlio del CEO e la continuità dei processi produttivi, etc). In assenza di questo approccio, oggi si può mettere in gioco la sopravvivenza dell’organizzazione nel suo complesso.
Andrea Zapparoli Manzoni, head of cyber security KPMG Advisory, membro del Direttivo Clusit
